Existe-t-il un moyen de kexec
redémarrer un noyau en cours d'exécution sans avoir à déchiffrer un système de fichiers racine LUKS chiffré?
J'imagine que non, mais je ne sais pas s'il y a une solution de contournement à cela.
Existe-t-il un moyen de kexec
redémarrer un noyau en cours d'exécution sans avoir à déchiffrer un système de fichiers racine LUKS chiffré?
J'imagine que non, mais je ne sais pas s'il y a une solution de contournement à cela.
Réponses:
Si mon autre réponse ne répond pas pour une raison quelconque à vos besoins (par exemple parce que vous ne voulez pas de fichier de clés sur votre volume ou que votre fichier /boot
n'est pas chiffré), je peux également recommander ce projet: https://github.com/flowztul/keyexec
Comme grub2 prend en charge le décryptage des volumes cryptés LUKS, je suppose que votre /boot
partition est également cryptée. Cela contrecarre également certaines attaques malfaisantes .
Si tel est le cas, vous pouvez avoir en toute sécurité une clé qui peut décrypter le volume à l'intérieur de vos initramfs. Désormais, lorsque kexec chargera vos initramfs dans ram, il pourra décrypter votre partition lors du chargement du nouveau noyau.
Parce que ce guide pour configurer un fichier de clés luks à l'intérieur des initramfs, qui résout également le problème d'avoir à entrer deux fois la phrase clé (d'abord dans grub, ensuite lors du chargement des initramfs).